eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: XN210 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Hiew
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 .
Посл.ответ Сообщение


Ранг: 263.0 (наставник)
Статус: Участник
Vanilla Sky

Создано: 4 июня 2006 22:31 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Hiew

Возможности release VIII:
- просмотр файлов любой длины в текстовом, шестнадцатеричном и в режиме дизассемблера
- x86-64 ассемблер и дизассемблер (включая инструкции AVX)
- просмотр и редактирование логических и физических дисков
- подержка форматов исполняемых фалов NE,LE,LX,PE/PE32+,ELF/ELF64(little-endian),Mach-O(little-endian),TE
- поддержка Netware Loadable Modules NLM,DSK,LAN,...
- переходы по call/jmp одним нажатием
- поиск по шаблону в дизассемблере
- встроенная 64битная система расшифровки/зашифровки
- встроенный мощный 64битный калькулятор
- блоковые операции любой длины: чтение, запись, заполнение, удаление, копирование, перемещение
- многофайловый поиск/замена
- клавиатурные макросы
- просмотр, редактирование, поиск в unicode/utf8
- возможность создавать свои Hiew Extrenal Modules
- ArmV6 дизассемблер

Ограничения DEMO-версии:
- поддержка только файлов PE 32бит
- нет ассемблера
- нет 64битного дизассемблера
- нет ARM дизассемблера
- нет поддержки логических/физических дисков
- нет модуля крипта
- нет обработки ini-файла
- нет sav-файла
- нет клавиатурных макросов
- нет записи/чтения имен (names)
- нет загрузки HEM (Hiew External Module)

Hiew32 Demo (~160Kb Win32 only)

HEM SDK:
HEM SDK 0.52

8.63 (31 Jan 2018)
- utf8 (1- and 2-bytes)
- @o/@O в калькуляторе для local/global offset
- (Shift-)Alt-N: (предыдущая)следующая маркировка
- PE Import dll list сортирован
- hex mode: переключение между файлами по Ctrl-Tab сохраняет текущее смещение


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 7 сентября 2017 00:24 New!
Цитата · Личное сообщение · #2

Вышла новая версия Hiew v8.60

Добавлена поддержка формата Terse Executable (TE).
Формат близок к PE32 / PE32+, сигнатура (EFI_IMAGE_TE_SIGNATURE) - "VZ" (0x5A56) вместо "PE".


Цитата с офсайта:

8.60 (5 Sep 2017)
Code:
  1. - поддержка TE файлов
  2. - fix(Macho): падал дл invalid indirectsym index
  3. - последний переход сразу вставляется в Goto dialog

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 7 сентября 2017 03:16 · Поправил: Модератор New!
Цитата · Личное сообщение · #3

Круто

От модератора: Предупреждение! Нарушение п.6 правил форума.

Добавлено спустя 2 часа 50 минут
[offtop]


>> От модератора: Предупреждение! Нарушение п.6 правил форума.

Есть и такое:

однако, всё зависит от ситуации и от тематики топика, главное - уважайте участников форума и себя

Ситуация соответствует, имхо.
[/offtop]

на 3 дня за спор с модератором

Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 1 февраля 2018 13:24 New!
Цитата · Личное сообщение · #4

Hiew v8.63 (31 Jan 2018)

Изменения
Code:
  1. - utf8 (1- and 2-bytes)
  2. - @o/@O в калькуляторе для local/global offset
  3. - (Shift-)Alt-N: (предыдущая)следующая маркировка
  4. - PE Import dll list сортирован
  5. - hex mode: переключение между файлами по Ctrl-Tab сохраняет текущее смещение

Ранг: 69.2 (постоянный)
Статус: Участник

Создано: 10 апреля 2018 13:32 New!
Цитата · Личное сообщение · #5

На руборде зарелизили 8.63. Ссылок не даю, всё равно тут потрут.

| Сообщение посчитали полезным: SaNX


Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 10 апреля 2018 14:13 New!
Цитата · Личное сообщение · #6

Dart Raiden пишет:
На руборде зарелизили 8.63.


Очередной криволом

| Сообщение посчитали полезным: Jupiter


Ранг: 505.2 (!)
Статус: Модератор

Создано: 11 апреля 2018 11:06 New!
Цитата · Личное сообщение · #7

Надеюсь автор читает тут,

пожелание - начать думать над поддержкой регистров ЦПУ ZMMxxx
а также набора инструкций AVX512

уже есть софт и hiew сливает конкурентам


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 11 апреля 2018 11:39 New!
Цитата · Личное сообщение · #8

sendersu пишет:
Надеюсь автор читает тут


Пиши ему на почту, которая указана в правом нижнем углу hiew.ru

| Сообщение посчитали полезным: sendersu


Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 13 мая 2018 10:50 · Поправил: dosprog New!
Цитата · Личное сообщение · #9

BlackCode пишет:
Очередной криволом

Это почему ещё - криво~? - Добавь свой вариант, чтоб было ясно, как надо.



--Добавлено--


Такой вопрос, может, кто сталкивался?

- как с помощью HEM-API обрезать текущий редактируемый файл по заданному адресу?
Запись ноля байтов не помогает, хотя и не вызывает ошибку, запись -1 байтов то же самое.
Code:
  1. HiewGate_FileWrite( 0x100 /*offset for trim*/,   0  /*n_bytes*/, &buffer ); //так не
  2. HiewGate_FileWrite( 0x100 /*offset for trim*/,  -1  /*n_bytes*/, &buffer ); //так тоже не


--Добавлено--
Оно, конечно, можно и с помощью WinAPI, но должен же быть соответствующий HEM-функционал?..
Или не должен?



Добавлено спустя 17 часов 53 минуты
..Ладно.
В общем, в коллекцию добавлен плагин PE_OVL.HEM для манипуляции с оверлеем PE-EXE.
Смотреть --> тут <-- (добавление5 от 14 мая 2018 г.)

Логика работы плагина такая:
Code:
  1. If PE-EXE contains the overlay   //если PE-EXE имеет оверлей
  2. then  select:  //тогда можно выбрать:
  3.     -Strip overlay   //отрезать оверлей
  4.     -Append or replace overlay from file //заменить или добавить оверлей  из файла
  5.     -Save overlay to file // сохранить оверлей в файл
  6. else  //иначе, если оверлея нет, тогда
  7.     -Append overlay from file // добавить оверлей из файла



Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 17 мая 2018 02:07 · Поправил: dosprog New!
Цитата · Личное сообщение · #10

Снова вопрос касательно HEM-API.

Есть такая функция:
Code:
  1. HEM_QWORD  HiewGate_Find( int  flags ,HEM_QWORD offset  ,HEM_BYTE *pData ,int dataLength /* <=20*/ ,HEM_BYTE *pMask);
Кто-то пользовался ею?
- Интересует описание её действия и аргументов.
В частности, <flags> и <pMask>. То есть формат "флагов"[что это вообще за флаги] и формат маски поиска.


Добавлено спустя чуть-чуть

В плагин PE_OVL.HEM для манипуляции с оверлеем PE-EXE добавлена опция "Goto overlay".
Смотреть --> тут <-- (добавление5 от 14 мая 2018 г., updated 17 мая 2018)

| Сообщение посчитали полезным: sendersu



Ранг: 630.4 (!)
Статус: Участник
CyberMonk

Создано: 17 мая 2018 11:30 New!
Цитата · Личное сообщение · #11

Подсмотрел здесь - --> Link <--

flags
Code:
  1. HEM_FIND_NEXT            = 0x00000001
  2. HEM_FIND_BACKWARD        = 0x00000002
  3. HEM_FIND_CASESENSITIVE   = 0x00000004
  4. HEM_FIND_INMARK          = 0x00000008
  5. HEM_FIND_USEMASK         = 0x00000010


@param mask: currently unused

| Сообщение посчитали полезным: dosprog



Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 17 мая 2018 19:49 New!
Цитата · Личное сообщение · #12

mak

В HEM SDK 0.52 с официального сайта Hiew всё это присутствует:

http://hiew.ru/files/HemSdk052.zip

Файл "hem.h", строки 169-173:

Code:
  1. // Bits of the Find()
  2.  
  3. #define HEM_FIND_NEXT                 0x00000001
  4. #define HEM_FIND_BACKWARD             0x00000002
  5. #define HEM_FIND_CASESENSITIVE        0x00000004
  6. #define HEM_FIND_INMARK               0x00000008
  7. #define HEM_FIND_USEMASK              0x00000010

| Сообщение посчитали полезным: mak


Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 17 мая 2018 20:03 · Поправил: dosprog New!
Цитата · Личное сообщение · #13

Присутствовать-то оно присутствует, но не вполне очевидно, к чему относятся те флажки..
А вот в hiew.py пояснения даны нормально. И насчёт маски - только там есть о том, что она не поддерживается.
По флажкам - пробовал втыком давать (-1), но функция завершалась ничем.
Попробую более осмысленно.



Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 22 мая 2018 14:02 New!
Цитата · Личное сообщение · #14

dosprog пишет:
но не вполне очевидно, к чему относятся те флажки


HEM_FIND_NEXT
Искать дальше

HEM_FIND_BACKWARD
Искать в обратном направлении

HEM_FIND_CASESENSITIVE
С учётом регистра

HEM_FIND_INMARK
Искать в выделении

HEM_FIND_USEMASK
Использовать маску ??


Ранг: 630.4 (!)
Статус: Участник
CyberMonk

Создано: 22 мая 2018 17:07 New!
Цитата · Личное сообщение · #15

Не совсем очевидно - int flags по отношению к HEM_FIND_ххх, поэтому в pyhiew доступнее, по hem.h хидеру ориентир на слово Find и комент // Bits of the Find(), а в pyhiew сразу всё

Code:
  1. -----------------------------------------------------------------------
  2. #HEM_QWORD HiewGate_Find(int flags, HEM_QWORD offset, HEM_BYTE *pData, int dataLength /* <= 20 */, HEM_BYTE *pMask);
  3. def Find(flags, offset, data, mask = None):
  4.     """
  5.     @param flags: one of HEM_FIND_XXXX flags
  6.     @param offset: starting offset
  7.     @param data: data buffer to find ; len is max HEM_MAX_FINDSTR_LEN
  8.     @param mask: currently unused
  9.     @return:
  10.         None - not found
  11.         Offset - offset of the match
  12.     """
  13.     return _hiew.HiewGate_Find(flags, offset, data)

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 29 мая 2018 12:34 · Поправил: dosprog New!
Цитата · Личное сообщение · #16

Придуман плагин GOTO.HEM для брожения по разным полезным смещениям в MZ и PE-EXE.
Восполняет недостающий функционал в Hiew, касающийся быстрых переходов.
Смотреть --> тут <-- (добавление 6 от 29 мая 2018 г.)

Мени плагина:
Code:
  1. Goto MZ:
  2. ========
  3. MZ relocs       
  4. MZ relocs END   
  5.  
  6. Goto PE:
  7. ========
  8. MZ Header ...
  9. PE Header
  10. PE Characteristics
  11. PE Directories
  12. PE Directories END
  13. PE Obj Table
  14. PE Obj Table END
  15. PE Overlay 

Кстати, sen, неплохо бы добавить этих вещей, в одной из очередных версий.
Всё-таки плагин это костыльно и неорганично, имхо.
Но пока так.


--Добавлено--
..Ну и для NE/LX что-то в том же духе примозговать..

| Сообщение посчитали полезным: sendersu



Ранг: 250.6 (наставник)
Статус: Участник
Seeker

Создано: 8 июня 2018 01:21 New!
Цитата · Личное сообщение · #17

dosprog
Плагины полезные, но желательно бы у тех что работают только с PE/PE+ поотключать остальные форматы файлов чтобы они не показывались в меню.

| Сообщение посчитали полезным: dosprog


Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 8 июня 2018 08:36 · Поправил: dosprog New!
Цитата · Личное сообщение · #18

Да оно бы и неплохо, но непонятно, как это сделать.
Там есть такой набор флажков - <hemFlag>,
так вот, если установить в нём флажок HEM_FLAG_PE, то плагин вообще перестаёт отображаться в списке,
вне зависимости от текущего формата файла (в том числе и для PE-файлов).
Навеное, делаю что-то не так.
Разберёмся

--Добавлено--
Ok, разобрался.
Сделаем

Но позже.

Кстати, забалахманю, наверное, --> отдельную тему <-- под это вот всё хозяйство.

Дабы не засорять.



Ранг: 250.6 (наставник)
Статус: Участник
Seeker

Создано: 8 июня 2018 18:34 New!
Цитата · Личное сообщение · #19

dosprog
И раз уже файлы пакуете, то хотелось бы видеть в меню вменяемые имена, не "PE_ovl", а "PE Overlay", к примеру.

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 8 июня 2018 19:19 · Поправил: dosprog New!
Цитата · Личное сообщение · #20

Будет.



Добавлено спустя 13 часов 46 минут

Поправлены 5 штук плагов, все имеют приставку "pe_" в названиях.
Сделано, как предложил =TS=.
Смотреть --> Тут <-- (Версии от 9 June 2018).

| Сообщение посчитали полезным: =TS=


Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 26 июля 2018 10:02 · Поправил: BlackCode New!
Цитата · Личное сообщение · #21

Hiew 8.65 (25 Jul 18)

Изменения в новой версии:
- поддержка TE 64бит
- длина строки поиска увеличена до 512 байтов
- fix: не находилась именнованая ссылка в режиме data
- fix arm disasm: неверное декодирование команд movw, movt

| Сообщение посчитали полезным: SkinnyNorris



Ранг: 250.6 (наставник)
Статус: Участник
Seeker

Создано: 16 ноября 2018 23:19 New!
Цитата · Личное сообщение · #22

Ручками правил релоки в DLL и понял что посмотреть RVA в HIEW нельзя никак...
Кроме как патчить базу в заголовке в 0.
Что не есть хорошо.


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 17 ноября 2018 01:37 New!
Цитата · Личное сообщение · #23

=TS=
Кроме как патчить базу в заголовке в 0.

Ctrl+F5

Enter - select new base
Escape - cancel
Home, PgUp - first line
End, PgDn - last line
Ctrl-F5 - set base to current offset
Any character - edit current base

NOTE: if first character is '*', current base = current offset


Ранг: 250.6 (наставник)
Статус: Участник
Seeker

Создано: 18 ноября 2018 14:19 · Поправил: =TS= New!
Цитата · Личное сообщение · #24

Jupiter
Так база работает только на офсет, не на VA, и если это не дамп и работаешь с разными секциями постоянно считать и править базу напряжно.
Спасло бы выставление из диалога Object Tables по Ctrl-F5 чтобы перебазированный офсет соответствовал RVA, но чего нет, того нет.


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 18 ноября 2018 14:51 New!
Цитата · Личное сообщение · #25

=TS=
Согласен, вручную пересчитывать неудобно, а через плагин нет доступа к отображению дизасма.
По идее помогло бы переключение отображение адресов через 3 режима:
- виртуальные адреса (с точкой в начале, VA)
- офсеты файла (как есть, без точек, RAW)
- относительные виртуальные адреса (придумать отображение, например с ' (апостроф) в начале; RVA)

Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 20 ноября 2018 17:49 New!
Цитата · Личное сообщение · #26

Hiew 8.66 (20 Nov 18)

Изменения в новой версии:
- в коде подставляются экспортные имена не-функций
- OffTbl показывает names|export|peimport|pestring


Ранг: 250.6 (наставник)
Статус: Участник
Seeker

Создано: 29 ноября 2018 14:12 New!
Цитата · Личное сообщение · #27

Если в WhereComesFrom добавить фильтры, получится аналог кросрефов иды
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 .
 eXeL@B —› Софт, инструменты —› Hiew

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS